JP1/NETM/Audit

付録D　正規化ルールファイルの作成例

正規化ルールファイルの作成例を次に示します。

正規化ルールファイルの定義内容については「13.2　正規化ルールファイル」を参照してください。

＜この節の構成＞

(1)　TYPEがKEYの場合

(2)　TYPEがVALUEの場合

(1)　TYPEがKEYの場合

TYPEがKEYの場合の監査ログについて，正規化ルールファイルの例を示します。

(a)　正規化前の監査ログの内容例（TYPEがKEYの場合）
num=1,msgid=1234,date=2007-01-01T10:10:10.100+09:00,prog=XYZ,comp=xyz,pid=1234,
host=hostA,ctgy=Authentication,result=Success,subj:euid=userA,authsrv=hostB,
msg="認証に成功しました。"
監査ログの各項目の内容を次の表に示します。

表D-1　正規化前の監査ログの内容（TYPEがKEYの場合）

項番属性名内容

1 num ログの通番

2 msgid メッセージ識別番号（メッセージID）

3 date 日時

4 prog プログラム名称

5 comp コンポーネント名称

6 pid プロセスID

7 host 発生場所

8 ctgy ログのカテゴリ

9 result ログの結果

10 subj:euid ユーザ情報

11 authsrv 認証サーバ

12 msg メッセージ

(b)　正規化ルールファイルの定義例（TYPEがKEYの場合）
[LOGTYPE] 
TYPE=KEY
SEPARATE=comma
SECTION=0
LOGSTART=0
ESCTYPE=1
FRONTESC=
REARESC=
SKIPSPACE=1
 
[PATTERN]
1=AuditLogID:-:num:2
2=MessageID:-:msgid:3
3=MessageDate:D:date:4
4=ProgramName:-:prog:5
5=ComponentName:-:comp:6
6=ProcessID:-:pid:7
7=PlaceInfo:-:host:8
8=EventCategoryName:-:ctgy:9
9=EventResultName:-:result:10
10=SubjectInfo:S:"subj:euid":11
11=PeculiarInfo:M:"":0
正規化ルールファイルの定義例の説明を次の表に示します。

表D-2　正規化ルールファイルの定義例の説明（TYPEがKEYの場合）

項番設定項目説明

1 [LOGTYPE] 定義の始まりを示す[LOGTYPE]を指定します。

2 TYPE=KEY 形式は「XX=XX」のため「KEY」を指定します。

3 SEPARATE=comma 区切り文字は「,」のため「comma」を指定します。

4 SECTION=0 セクションは特に指定しないため「0」を指定します。

5 LOGSTART=0 区切りは先頭から行うため「0」を指定します。

6 ESCTYPE=1 エスケープは「"」であるため「1」を指定します。

7 FRONTESC= エスケープが「"」のため設定不要です。

8 REARESC= エスケープが「"」のため設定不要です。

9 SKIPSPACE= 区切り文字が「,」のため設定不要です。

10 [PATTERN] セクションは特に指定していないため「PATTERN」を指定します。

11 1=AuditLogID:-:num:2 監査ログIDには「num」の値を使用し，2番を実行します。

12 2=MessageID:-:msgid:3 メッセージIDには「msgid」の値を使用し，3番を実行します。

13 3=MessageDate:D:date:4 日時には「date」の値を使用し，4番を実行します。

14 4=ProgramName:-:prog:5 プログラム名には「prog」の値を使用し，5番を実行します。

15 5=ComponentName:-:comp:6 コンポーネント名には「comp」の値を使用し，6番を実行します。

16 6=ProcessID:-:pid:7 プロセスIDには「pid」の値を使用し，7番を実行します。

17 7=PlaceInfo:-:host:8 発生場所には「host」の値を使用し，8番を実行します。

18 8=EventCategoryName:-:ctgy:9 監査事象種別には「ctgy」の値を使用し，9番を実行します。

19 9=EventResultName:-:result:10 監査事象結果には「result」の値を使用し，10番を実行します。

20 10=SubjectInfo:S:"subj:euid":11 サブジェクト種別には「実行ユーザID」を使用し，サブジェクト情報には「subj:euid」の値を使用して，11番を実行します。

21 11=PeculiarInfo:M:"":0 残りのデータを固有情報とし，正規化を終了します。

(c)　正規化後の監査ログ管理画面での表示例（TYPEがKEYの場合）

「正規化前の監査ログの内容例」を正規化した結果，監査ログ管理画面に表示される内容の例を次の表に示します。

表D-3　正規化後の監査ログ管理画面での表示例（TYPEがKEYの場合）

項番監査ログ管理画面での項目内容

1 監査ログID 1

2 メッセージID 1234

3 日時 2007-01-01 10:10:10.100

4 プログラム名 XYZ

5 コンポーネント名 xyz

6 プロセスID 1234

7 発生場所 hostA

8 監査事象種別 Authentication

9 監査事象結果 Success

10 サブジェクト種別実行ユーザID

11 サブジェクト情報 userA

12 固有情報 TZD=+09:00,authsrv=hostB,msg="認証に成功しました。"

項番	属性名	内容
1	num	ログの通番
2	msgid	メッセージ識別番号（メッセージID）
3	date	日時
4	prog	プログラム名称
5	comp	コンポーネント名称
6	pid	プロセスID
7	host	発生場所
8	ctgy	ログのカテゴリ
9	result	ログの結果
10	subj:euid	ユーザ情報
11	authsrv	認証サーバ
12	msg	メッセージ

項番	設定項目	説明
1	[LOGTYPE]	定義の始まりを示す[LOGTYPE]を指定します。
2	TYPE=KEY	形式は「XX=XX」のため「KEY」を指定します。
3	SEPARATE=comma	区切り文字は「,」のため「comma」を指定します。
4	SECTION=0	セクションは特に指定しないため「0」を指定します。
5	LOGSTART=0	区切りは先頭から行うため「0」を指定します。
6	ESCTYPE=1	エスケープは「"」であるため「1」を指定します。
7	FRONTESC=	エスケープが「"」のため設定不要です。
8	REARESC=	エスケープが「"」のため設定不要です。
9	SKIPSPACE=	区切り文字が「,」のため設定不要です。
10	[PATTERN]	セクションは特に指定していないため「PATTERN」を指定します。
11	1=AuditLogID:-:num:2	監査ログIDには「num」の値を使用し，2番を実行します。
12	2=MessageID:-:msgid:3	メッセージIDには「msgid」の値を使用し，3番を実行します。
13	3=MessageDate:D:date:4	日時には「date」の値を使用し，4番を実行します。
14	4=ProgramName:-:prog:5	プログラム名には「prog」の値を使用し，5番を実行します。
15	5=ComponentName:-:comp:6	コンポーネント名には「comp」の値を使用し，6番を実行します。
16	6=ProcessID:-:pid:7	プロセスIDには「pid」の値を使用し，7番を実行します。
17	7=PlaceInfo:-:host:8	発生場所には「host」の値を使用し，8番を実行します。
18	8=EventCategoryName:-:ctgy:9	監査事象種別には「ctgy」の値を使用し，9番を実行します。
19	9=EventResultName:-:result:10	監査事象結果には「result」の値を使用し，10番を実行します。
20	10=SubjectInfo:S:"subj:euid":11	サブジェクト種別には「実行ユーザID」を使用し，サブジェクト情報には「subj:euid」の値を使用して，11番を実行します。
21	11=PeculiarInfo:M:"":0	残りのデータを固有情報とし，正規化を終了します。

項番	監査ログ管理画面での項目	内容
1	監査ログID	1
2	メッセージID	1234
3	日時	2007-01-01 10:10:10.100
4	プログラム名	XYZ
5	コンポーネント名	xyz
6	プロセスID	1234
7	発生場所	hostA
8	監査事象種別	Authentication
9	監査事象結果	Success
10	サブジェクト種別	実行ユーザID
11	サブジェクト情報	userA
12	固有情報	TZD=+09:00,authsrv=hostB,msg="認証に成功しました。"

(2)　TYPEがVALUEの場合

TYPEがVALUEの場合の監査ログについて，正規化ルールファイルの例を示します。

(a)　正規化前の監査ログの内容例（TYPEがVALUEの場合）
 
ABC 2007/01/01 10:10:10 [1234] 1234 0 userA 認証に成功しました。
 
監査ログの各項目の内容を次の図に示します。

図D-1　正規化前の監査ログの内容

(b)　正規化ルールファイルの定義例（TYPEがVALUEの場合）
[LOGTYPE]
TYPE=VALUE
SEPARATE=space
SECTION=1
LOGSTART=1
ESCTYPE=2
FRONTESC=[
REARESC=]
SKIPSPACE=0
 
[ABC]
1=AuditLogID:*:0:2
2=ProgramName:*:XYZ:3
3=ComponentName:*:xyz:4
4=PlaceInfo:H:5
5=EventCategoryName:*:Authentication:6
6=CHECK:J:6:-1:8:7
7=CHECK:J:6:0:9:10
8=EventResultName:*:Failure:11
9=EventResultName:*:Success:11
10=EventResultName:*:Occurrence:11
11=SubjectInfo:C:"subj:euid":7:12
12=MessageDate:D:2,3:13
13=ProcessID:-:4:14
14=MessageID:-:5:15
15=PeculiarInfo:N:8:0
正規化ルールファイルの定義例の説明を次の表に示します。

表D-4　正規化ルールファイルの定義例の説明（TYPEがVALUEの場合）

項番設定項目説明

1 [LOGTYPE] 定義の始まりを示す[LOGTYPE]を指定します。

2 TYPE=VALUE 形式は「値1，値2・・・」（値の羅列）のため「VALUE」を指定します。

3 SEPARATE=space 区切り文字は「△（半角スペース）」のため「space」を指定します。

4 SECTION=1 セクションは特に指定しないため「1」を指定します。

5 LOGSTART=1 区切りは先頭から行うため「1」を指定します。

6 ESCTYPE=2 エスケープは「[ ]」であるため「2」を指定します。

7 FRONTESC=[ エスケープが「[」のため「[」を指定します。

8 REARESC=] エスケープが「]」のため「]」を指定します。

9 SKIPSPACE=0 スペースはまとめないため「0」を指定します。

10 [ABC] セクション名として監査ログの先頭の文字列を使用します。

11 1=AuditLogID:*:0:2 監査ログIDには固定値で「0」を使用し，2番を実行します。

12 2=ProgramName:*:XYZ:3 プログラム名には固定値で「XYZ」を使用し，3番を実行します。

13 3=ComponentName:*:xyz:4 コンポーネント名には固定値で「xyz」を使用し，4番を実行します。

14 4=PlaceInfo:H:5 発生場所には監査ログ収集対象サーバ名を使用し，5番を実行します。

15 5=EventCategoryName:*:Authentication:6 監査事象種別には固定値で「Authentication」を使用し，6番を実行します。

16 6=CHECK:J:6:-1:8:7 監査ログの6番が「-1」の場合，8番を実行し，それ以外は7番を実行します。

17 7=CHECK:J:6:0:9:10 監査ログの6番が「0」の場合，9番を実行し，それ以外は10番を実行します。

18 8=EventResultName:*:Failure:11 監査事象結果には固定値で「Failure」を使用し，11番を実行します。

19 9=EventResultName:*:Success:11 監査事象結果には固定値で「Success」を使用し，11番を実行します。

20 10=EventResultName:*:Occurrence:11 監査事象結果には固定値で「Occurrence」を使用し，11番を実行します。

21 11=SubjectInfo:C:"subj:euid":7:12 サブジェクト種別には「実行ユーザID」を使用し，サブジェクト情報には7番の値を使用して，12番を実行します。

22 12=MessageDate:D:2,3:13 日時には2番と3番の値を使用し，13番を実行します。

23 13=ProcessID:-:4:14 プロセスIDには4番の値を使用し，14番を実行します。

24 14=MessageID:-:5:15 メッセージIDには5番の値を使用し，15番を実行します。

25 15=PeculiarInfo:N:8:0 残りのデータを固有情報とし，正規化を終了します。

(c)　正規化後の監査ログ管理画面での表示例（TYPEがVALUEの場合）

「正規化前の監査ログの内容例」を正規化した結果，監査ログ管理画面に表示される内容の例を次の表に示します。

表D-5　正規化後の監査ログ管理画面での表示例（TYPEがVALUEの場合）

項番監査ログ管理画面での項目内容

1 監査ログID －

2 メッセージID 1234

3 日時 2007-01-01 10:10:10.100

4 プログラム名 XYZ

5 コンポーネント名 xyz

6 プロセスID 1234

7 発生場所 監査ログ収集対象サーバ名

8 監査事象種別 Authentication

9 監査事象結果 Success

10 サブジェクト種別実行ユーザID

11 サブジェクト情報 userA

12 固有情報認証に成功しました。

（凡例）

－：空白

項番	設定項目	説明
1	[LOGTYPE]	定義の始まりを示す[LOGTYPE]を指定します。
2	TYPE=VALUE	形式は「値1，値2・・・」（値の羅列）のため「VALUE」を指定します。
3	SEPARATE=space	区切り文字は「△（半角スペース）」のため「space」を指定します。
4	SECTION=1	セクションは特に指定しないため「1」を指定します。
5	LOGSTART=1	区切りは先頭から行うため「1」を指定します。
6	ESCTYPE=2	エスケープは「[ ]」であるため「2」を指定します。
7	FRONTESC=[	エスケープが「[」のため「[」を指定します。
8	REARESC=]	エスケープが「]」のため「]」を指定します。
9	SKIPSPACE=0	スペースはまとめないため「0」を指定します。
10	[ABC]	セクション名として監査ログの先頭の文字列を使用します。
11	1=AuditLogID:*:0:2	監査ログIDには固定値で「0」を使用し，2番を実行します。
12	2=ProgramName:*:XYZ:3	プログラム名には固定値で「XYZ」を使用し，3番を実行します。
13	3=ComponentName:*:xyz:4	コンポーネント名には固定値で「xyz」を使用し，4番を実行します。
14	4=PlaceInfo:H:5	発生場所には監査ログ収集対象サーバ名を使用し，5番を実行します。
15	5=EventCategoryName:*:Authentication:6	監査事象種別には固定値で「Authentication」を使用し，6番を実行します。
16	6=CHECK:J:6:-1:8:7	監査ログの6番が「-1」の場合，8番を実行し，それ以外は7番を実行します。
17	7=CHECK:J:6:0:9:10	監査ログの6番が「0」の場合，9番を実行し，それ以外は10番を実行します。
18	8=EventResultName:*:Failure:11	監査事象結果には固定値で「Failure」を使用し，11番を実行します。
19	9=EventResultName:*:Success:11	監査事象結果には固定値で「Success」を使用し，11番を実行します。
20	10=EventResultName:*:Occurrence:11	監査事象結果には固定値で「Occurrence」を使用し，11番を実行します。
21	11=SubjectInfo:C:"subj:euid":7:12	サブジェクト種別には「実行ユーザID」を使用し，サブジェクト情報には7番の値を使用して，12番を実行します。
22	12=MessageDate:D:2,3:13	日時には2番と3番の値を使用し，13番を実行します。
23	13=ProcessID:-:4:14	プロセスIDには4番の値を使用し，14番を実行します。
24	14=MessageID:-:5:15	メッセージIDには5番の値を使用し，15番を実行します。
25	15=PeculiarInfo:N:8:0	残りのデータを固有情報とし，正規化を終了します。

項番	監査ログ管理画面での項目	内容
1	監査ログID	－
2	メッセージID	1234
3	日時	2007-01-01 10:10:10.100
4	プログラム名	XYZ
5	コンポーネント名	xyz
6	プロセスID	1234
7	発生場所	監査ログ収集対象サーバ名
8	監査事象種別	Authentication
9	監査事象結果	Success
10	サブジェクト種別	実行ユーザID
11	サブジェクト情報	userA
12	固有情報	認証に成功しました。

[目次][前へ][次へ]

[他社商品名称に関する表示]

付録D 正規化ルールファイルの作成例

付録D　正規化ルールファイルの作成例